Targeted Attacks: Fallbeispiel Falun Gong

10.02.2008

Gezielte Angriffe mit per E-Mail versandten Trojanern sind ein wichtiges Mittel, um politische Gegner und wirtschaftliche Konkurrenten auszuspionieren. Das Ö1-Magazin "matrix" demonstriert am Sonntag am Beispiel Falun Gong, wie derartige Angriffe ablaufen und wie man sich dagegen schützen kann.

Maarten Van Horenbeeck ist Security Consultant in einem großen IT-Unternehmen. Er interessiert sich vor allem für das Restrisiko, das bestehen bleibt, selbst wenn ein Netzwerk optimal gegen Eindringlinge abgesichert ist. Dazu zählen vor allem Angriffe, die sich nur gegen ein ganz bestimmtes Ziel richten. Der Angreifer kann dabei Werkzeuge benutzen, die nie zuvor verwendet wurden und daher auch nicht öffentlich bekannt sind.

Diese können ganz neu entdeckte Schwachstellen ausnutzen, sogenannte Zero Day Exploits. Es kann sich auch um selbst geschriebene Viren und Trojaner handeln. Da diese nie zuvor gesichtet wurden, gibt es natürlich auch keine passenden Virensignaturen. Derartige Schadsoftware wird daher von Anti-Viren-Software nur schlecht oder gar nicht erkannt.

Nicht erst seit auf Rechnern der Deutschen Bundesregierung chinesische Trojaner gefunden wurden, ist bekannt, dass zahlreiche derartige Angriffe ihren Ursprung im "Reich der Mitte" haben.

Van Horenbeeck überlegte, wer Opfer derartiger Angriffe, aber auch willens sein könnte, Informationen weiterzugeben. Schnell landete er bei der religiösen Bewegung Falun Gong, die in China seit Jahren verfolgt wird. Van Horenbeeck wurde rasch fündig, als er begann, von Falung-Gong-Mitgliedern bereitgestellte E-Mail-Dateianhänge zu untersuchen.

Bis ins Jahr 2003 konnte er die Angriffe zurückverfolgen, und sie dauern bis heute an. Die Schadsoftware öffnete Hintertüren auf den Rechnern der Falun-Gong-Mitglieder, verband sie mit gehackten Rechnern etwa in Taiwan oder den USA und übertrug Daten.

Taktikwechsel nach Warnhinweisen

Selbst als den Falun-Gong-Aktivisten klarwurde, dass etwas nicht stimmte, und entsprechende Warnhinweise auf den Websites der Organisation veröffentlicht wurden, waren die Angreifer in vielen Fällen erfolgreich. Van Horenbeeck fand heraus, dass derartige Veröffentlichungen zeitlich mit Änderungen in der Angriffstaktik korrespondierten.

Als etwa darum gebeten wurde, keine Word-Dokumente mehr zu verwenden, wichen die Angreifer auf die Formate anderer Anwendungen wie WinRar, PowerPoint und Excel aus. Der Forscher ist sich sicher, dass die Angreifer ihre Ziele genau beobachteten und einschlägige Warnungen direkt auf den Falun-Gong-Seiten mitlasen.

Der Modus Operandi wurde sehr oft gewechselt, und es wurde alles getan, um die Opfer zu täuschen. Die Host-Namen der für die Angriffe verwendeten Rechner passten in das Falun-Gong-Umfeld, die E-Mails selbst kamen von vermeintlich bekannten Adressen und präsentierten sogar glaubwürdige Inhalte.

Analyse des Rechnernetzes der Angreifer

Als Van Horenbeeck während seiner Untersuchung auch frisches Material, direkt nachdem es eingegangen war, erhielt, begann er, das Netzwerk der Angriffsrechner zu analysieren.

Bemerkenswert war für den Forscher dabei, dass manche Rechner über lange Zeit immer wieder genutzt wurden. Als besonders langlebig erwiesen sich "Parking-IPs". Diese werden für einen einfachen Trick zur Steuerung des Trojanernetzes verwendet.

Erfolgreich installierte Schadsoftware, die sich bei den Angreifern meldet, sucht nach einem bestimmten Domain-Namen. Wenn dieser auf eine ganz bestimmte IP-Adresse verweist, eben die Parking-IP, stellt der Trojaner seine Schadfunktion ein. Durch Umschwenken der IP-Adresse für ihre Domain können die Angreifer ihre kleinen Spione so beliebig ein- und ausschalten.

Diese Parking-IPs könnten eine wichtige Hilfe sein, um andere Opfer derartiger Angriffe zu identifizieren. Sind sie bekannt, können die Logfiles von gefährdeten Unternehmen und Organisationen danach durchsucht werden. Wird man fündig, ist das ein wichtiger Hinweis darauf, dass man angegriffen wurde.

Gemeinsame Abwehr

Meist nützte die von Van Horenbeeck gefundene Schadsoftware bekannte Sicherheitslücken aus. Vereinzelt fand er aber auch Expoits für Schwachstellen, die zum Zeitpunkt des Angriffs noch gar nicht bekannt waren. Dafür ist selbst ein optimal abgesichertes Netzwerk anfällig. Es besteht also immer ein Restrisiko für gezielte Angriffe, gegen das man sich alleine kaum schützen kann.

Van Horenbeeck plädiert daher dafür, dass sich gefährdete Unternehmen und Organisationen zusammenschließen, um Informationen austzuauschen. In Europa sieht er dabei einigen Nachholbedarf. In den USA gibt es längst die ISACs, also Informationsaustausch- und -analysezentren, wo verschiedene Unternehmen einer Branche Informationen über Angriffe austauschen.

Heute um 22.30 Uhr im Ö1-Magazin "matrix"

Das Beispiel Falun Gong zeigt, wie schwierig es ist, sich gegen strategisch ausgeklügelte Angriffe aus dem Netz zu wehren.

(Thomas Thaler)